摘要
当前,互联网技术的迅速发展及其应用的极大普及,标志着信息时代的到来。在信息时代,信息资源是最宝贵的财富,谁掌握了最及时有用的信息,谁就能在激烈的竞争中快人一步,占得先机。在这个大背景下,各行各业的信息化建设就势在必行。
在信息化建设的道路上,信息系统的访问控制策略和机制是一个关键问题,特别对一些用户和信息资源数量巨大的信息系统。访问控制策略是避免信息系统内部信息被非法获取、修改、破坏和避免系统被未授权使用的重要手段之一。健壮的、有效的用户访问控制策略不仅可以大大减少工作量、提高效率和减少错误,而且可以有效保证信息系统数据和服务的保密性、完整性、可用性(C.I.A)。基于角色的访问控制模型(Role-Based Access Control Model,简称RBAC模型)功能强大,操作简单,是当前信息系统访问控制策略主要采取的模型。但是传统的RBAC模型一般只考虑功能方面的实现,而没有实现用户操作权限的可审计性。目前的网络安全,尤其是信息系统内部的网络安全问题存在着极大的隐患,RBAC模型这个缺点的影响将随着人们对内网安全问题的重视程度增加而愈加凸显。
虽然信息系统的访问控制机制和信息审计功能可以分开单独实现,但是由于访问控制机制和信息安全审计功能都和信息系统的用户及权限资源有着密切的联系,把它们集成起来作为一个独立的组件,不仅可以减少系统设计时的复杂度,而且也符合软件工程模块化的思想。本文从实际应用的角度出发,先对RBAC模型进行了深入的研究分析,接着简述了信息安全审计的内容,然后根据RBAC模型对用户权限操作不可审计的缺点及信息安全审计可增强信息系统内网安全性的优点,提出了一种可审计的基于角色的访问控制模型—RBAC-a模型(其中a代表auditable,即可审计),并且给出了该模型的详细定义。最后,本文依托重庆市信息安全技术中心案例信息系统(以下简称:案例系统)开发项目,结合目前我国高校用户和信息系统的特点,对在案例系统中采用RBAC-a模型的访问控制策略进行了详细的可行性分析,然后对在案例系统中如何实现RBAC-a模型组件的过程进行了详细的说明,最后给出了相应的测试结果。
对测试结果的分析以及和传统的访问控制模型进行比较后证明,RBAC-a模型较之传统的RBAC模型确有进步之处,这正是本文价值所在之处。
Currently, with the development of Internet technology and popularization of its application, it is the information times. At this time, information is the most valuable property. The people who have most useful information will succeed more quickly. Under this background, every industry has to do its information construction.
Access control mode is very important on the way of informationization, especially for some information system that has large amount of users and resource. Access control is important to prevent inner information is lawlessly obtained, modified and destroyed and to prevent the system is unauthorized use. Therefore to design a stable, efficient access control policy not only can decrease the workload and mistake, elevate the efficiency but also can insure the Confidentiality, Integrity and Availability (C.I.A) of data and service. Because of Role-Based Access Control Model‘s powerful function and easy operation, it is very prevalent in the current day. But, traditional RBAC focused on the function of system, it can’t make users’operation record auditable.RBAC’s this flaw will get more obvious by the more focus on the information system’s interior security.
Access control and information audit of information system can be implemented separately, but both of them are closely linked with users and permission resource, so integrating them as a separate component can not only reduce system the complexity of the design, but also in line with the thinking of modular software engineering. In this paper, from a practical application point of view, firstly, carried out in-depth research and analysis on RBAC model, and then analyzed the content of information security audit, then according to the shortcoming that RBAC model can not be auditable for user’s permission operation and strongpoint that information security audit can strengthen network security, it gives a new access control mode—RBAC-a model (a means auditable) and gives a detailed analysis based on characteristics of China's current college users and information systems and a detailed note on implement of RBAC-a model component in case system. Finally, the test results are given.
The analysis of test results and comparison with traditional access control models how that RBAC-a model does more progress than traditional RBAC model. That is the value of this paper.
引文
[1] 陈爱民, 于康友等. 计算机的安全与保密[M]. 电子工业出版社, 1992 年.
[2] David Ferraiolo, Richard Kuhn. Role-Based Access Control. the 15th National Computer security Conference, 1992
[3] 马水平. 基于角色安全访问控制机制的研究. 中国海洋大学, 2005.7
[4] Matthew J Moyer, Mustaque Ahamad. Generalized Role-Based Access Control [J]. Proceedings-International Conference on Distributed Computing Systems, 2001.4
[5] Ravis Sandhu, Edward J. Coyne, Hall. Feinstein, Charles E. Youman. Role-based access control models. IEEE Computer, 29(2):38{47, 1996. 19}
[6] Fort Washington, James Anderso. Threat Monitoring and urveillance[R]. Technical Report. Computer Security, 1980.4
[7] 韦加强. 电子政务的信息安全设计与实现. 华东师范大学, 2005.4
[8] 刘宏月等. 访问控制技术研究进展. 小型微型计算机系统, 2004.15
[9] 毛碧波, 孙玉芳. 角色访问控制. 计算机科学, 2003.10
[10] 樊会锋. Web 应用服务器安全服务的设计与实现.中国科学院研究生院, 2004.6
[11] Dan Pilone, Neil Pitman. UML2.0 in a Nutshell. First Edition. United States of America. O'Reilly, June 2005
[12] HONG Fan. A Family of RBAC-Based Workflow Authorization Models. Wuhan University Journal of Natural Sciences, Vol.10 No.1,2005.2
[13] 中国信息安全产品测评认证中心. 信息安全理论与技术. 人民邮电出版社,.2003.9
[14] MENG Xiao feng, LUO Dao feng, QU Jian bo. An Extended Role Based Access Control Method for XML Documents. Wuhan University Journal of Natural Sciences. Vol.10 No.1 2005 3
[15] DUAN Sujuan, HONG Fan, LI Xinhua. Authorization Administration in a Distributed multi-application Environment. Geo-spatial Information Science (Quarterly) Volume 7. Issue 4. December 2004
[16] 韦加强. 电子政务的信息安全设计与实现. 华东师范大学, 2005.4
[17] 周煌. 基于角色的动态访问控制模型的研究应用. 成都,电子科技大学, 2005.1
[18] 吴限. 基于角色访问控制(RBAC)的 Web 应用. 大连理工大学, 2002.6
[19] 刘韵. 基于角色的安全访问控制的研究和应用. 首都经济贸易大学, 2003.3
[20] HONG Fan, ZHU Xian, XING Guang lin. Distributed Role-based Access Control for Coaliagion Application. Geo-spatial Information Science (Quarterly) Volume 8, Issue 2,December 2005
[21] HAN Lan-heng, HONG Fan, Asiedu Baffour Kojo. Least Privileges and Role’s Inheritance of RBAC. Wuhan University Journal of Natural Sciences, Vol.11 No.1, 2006, 185-187
[22] WANG Zhi-gang, LU Zheng ding, LI Rui xuan, WU Wei, WANG Xiao gang. Trusted RBAC—A Distributed Authorization Infrastructure Span MultipleAutonomous Domains. Wuhan University Journal of Natural Sciences, Vol.9 No.5, 2004, 694-698
[23] Hong Fan. Roled-based access control. Mini-Micro Systems,2002.2
[24] 鞠时光, 王昌达. BLP 安全模型及其发展. 江苏大学学报(自然科学版), 2004.1
[25] 谭晓. 电子政务信息安全系统的设计与实现技术. 江西,江西师范大学, 2003.5
[26] 马水平. 基于角色安全访问控制机制的研究. 中国海洋大学, 2005.7
[27] 张维. 基于角色的访问控制的研究及其在法院系统中的应用. 西南交通大学, 2003.6
[28] 李晓阳. 分布式系统中 RBAC 的设计与实现. 中国科学院软家研究所, 2005.6
[29] 王亚民. 基于 RBAC 的信息系统访问控制模型. 情报杂志, 2005.10
[30] 汪绍峰. 基于角色的访问控制技术在 PDM 系统的应用.武汉理工大学, 2004.5
[31] 夏志雄, 张曙光. RBAC 在基于 Web 管理信息系统中的应用. 计算机应用研究, 2004.7
[32] 林磊, 骆建彬等. 管理信息系统中基于角色的权限控制. 计算机应用, 2002.19
[33] 孙强. 信息系统审计:安全、风险管理与控制. 机械工业出版社, 2003.9
[34] Trey Guerin, Richard Lord. How role-based access control can provide security and business benefits. Computer World Security,.1997.5
[35] Burkhard Hilchenbach. Observations on the real-world implementation of Role-Based Access Control. Computer World Security,.1996.1
[36] 郑岚. FlexPMD 通用权限管理支持平台.浙江大学, 2005.3
[37] 孙尚辉. PDM 系统电子文档的安全控制. 曲阜师范大学, 2005.4
[38] 王宏健, 王辉, 邵佩英. 在 Web 上实现基于角色的访问控制的一种方法. 计算机工程与应用, 2001.18
[39] 周伟平, 陆松年.. RBAC 访问控制研究. 计算机安全, 2007.2
[40] 李玉章, 罗军, 基于 RBAC 的 XML 访问控制研究. 计算机工程与设计, 2007.1
[41] 胡坤华,粟栗,. 基于代理属性证书的分布式 RBAC 系统. 计算机工程与应用, 2007.5
[42] 王治纲, 王晓刚, 卢正鼎. 基于本体的 RBAC 策略描述与集成. 计算机科学, 2007.2
[43] 曹磊; 吕良双. 基于角色的轻量级访问控制系统的研究. 计算机应用, 2006(02)
[44] 崔宾阁, 刘大昕. 强制访问控制在基于角色的保护系统中的实现. 计算机工程, 2006.6
[45] 欧阳昱. 基于访问控制模型的工作流任务指派异常处理. 计算机仿真, 2006.3
[46] 张宁宁, 刘孟仁. 模型检测在软件测试中的应用. 计算机与数字工程, 2006.2
[47] 董晓霞. 软件测试工程化的研究和实践. 计算机工程与设计, 2006.11